Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
1
Ванин М.В.
ЭЛЕКТРОННАЯ УДАЛЕННАЯ АУТЕНТИФИКАЦИЯ В ГОСУДАРСТВЕННЫХ СИСТЕМАХ.
R-Style, Москва.
Унификация механизмов элект...
2
Удобство —простота и доступность для пользователей процедур регистрации, получения и замены
персональных средств аутенти...
3
Критерий Подход «Единая система электронной
удаленной аутентификации»
Подход «Федерация систем
электронной удаленной
аут...
4
Критерий Подход «Единая система электронной
удаленной аутентификации»
Подход «Федерация систем
электронной удаленной
аут...
5
Критерий Подход «Единая система электронной
удаленной аутентификации»
Подход «Федерация систем
электронной удаленной
аут...
Upcoming SlideShare
Loading in …5
×

тезисы к докладу по электронной аутентификации в государственных системах

470 views

Published on

Тезисы к докладу с моего выступления на PKI Forum по теме электронной аутентификации в государственных системах.

Published in: Technology
  • Be the first to comment

тезисы к докладу по электронной аутентификации в государственных системах

  1. 1. 1 Ванин М.В. ЭЛЕКТРОННАЯ УДАЛЕННАЯ АУТЕНТИФИКАЦИЯ В ГОСУДАРСТВЕННЫХ СИСТЕМАХ. R-Style, Москва. Унификация механизмов электронной идентификации и аутентификации граждан, сотрудников юридических лиц и должностных лиц органов власти при доступе к электронным сервисам государственных информационных систем является одной из актуальных задач Правительства России. Эта задача неоднократно упоминалась Д.А. Медведевым в прессе. По теме этой задачи в последние годы был принят ряд постановлений Правительства, как-то постановления по ФГИС «Единая система идентификации и аутентификации» (№ 977 от 28.11.2011 и № 584 от 10.07.2013), постановления по теме электронной подписи (№ 111 от 09.02.2012 и № 33 от 25.01.2013).На решение данной задачи направлено несколько крупных проектов последних лет, таких как проекты по «Единой системе идентификации и аутентификации» и «Информационной системе головного удостоверяющего центра», проект по «Универсальной электронной карте».Стоит упомянуть и прорабатываемый в настоящий момент проект по удостоверению личности гражданина Российской Федерации нового поколения в виде электронной идентификационной карты. Отметим, что, несмотря на бурное развитие в последние годы законотворчества и проектов в России по тематике идентификации и аутентификации пользователей, ощущается нехватка государственной стратегии, формализованной и доступной сообществу. Принятые постановления правительства имеют взаимные противоречия, а также зачастую не соответствуют существующим и планируемым возможностям упоминаемых информационных систем. При выборе стратегии в отношении электронной идентификации и аутентификации пользователей в государственных системах в нашей стране является полезным обратиться к опыту других стран с похожим федеративным устройством. В частности, большой интерес может представлять ознакомление с «Национальной стратегией США по достоверной идентификации в киберпространстве»1 , а также с материалами выполняющегося сейчас в Евросоюзе проекта «Безопасная трансграничная идентификация 2.0»2 . Эти источники позволяют четко проследить тренды правительств США и Евросоюза на создание федеративных систем электронной идентификации. Возможны два подхода к решению задачи электронной удаленной аутентификации в государственных системах: Единая система электронной удаленной аутентификации — для ведения учетных записей пользователей, электронной идентификации и аутентификации используется исключительно ФГИС ЕСИА, развиваемая государством. Федерация систем электронной удаленной аутентификации — в границах региона или в границах ведомства (ФОИВ, РОИВ) внедряется собственная система удаленной электронной аутентификации пользователей. Данная система в обязательном порядке взаимоувязана с ФГИС ЕСИА. Также эта система вводит собственные механизмы ведения учетных записей пользователей, электронной удаленной аутентификации и предоставляет возможность образования федерации с аналогичными системами удаленной электронной аутентификации пользователей других ведомств и организаций, соответствующих установленному государством стандарту. Проведем экспертное сравнение обоих подходов с использованием следующих критериев: Надежность — способность пользователей при доступе к электронным сервисам ведомства / региона пройти электронную удаленную аутентификацию в условиях возможных сбоев инфраструктурных информационных и телекоммуникационных сервисов. Безопасность —доверие механизмам электронной удаленной аутентификации со стороны пользователей и операторов информационных систем. 1 National strategy for trusted identities in cyberspace, апрель 2011, http://www.whitehouse.gov. 2 Secure idenTity acrOss boRders linKed 2.0 (STORK 2.0), https://www.eid-stork2.eu/
  2. 2. 2 Удобство —простота и доступность для пользователей процедур регистрации, получения и замены персональных средств аутентификации, процедуры электронной удаленной аутентификации. Готовность к внедрению —проработанность возможности применения подхода с точки зрения нормативной базы и готовности необходимых федеральных государственных информационных систем. Экономический фактор — оценка затрат на внедрение унифицированных механизмов электронной удаленной аутентификации, в том числе возможностей сохранения инвестиций в существующие механизмы электронной удаленной аутентификации и возможностей по стимулированию инноваций поставщиков решений по электронной удаленной аутентификации за счет развития конкуренции. Таблица 1. Сравнение возможных подходов по обеспечению электронной удаленной аутентификации в государственных системах. Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» Надежность Преимущества: ответственность за надежность решения делегирована Минкомсвязи России; не требуются инвестиции региона / ФОИВ в повышение надежности решения и в обеспечение эксплуатации 24x7 — вся ответственность на Минкомсвязи России. Недостатки: отсутствие контроля. потенциальные трудности при создании единой системы идентификации и аутентификации, обеспечивающей все транзакции по электронной удаленной аутентификации для всех государственных информационных систем. Преимущества: возможность наращивать надежность системы за счет собственных инвестиций региона / ФОИВ; возможность выбора более надежного решения из числа предлагаемых на рынке; возможность организовать единый домен доступности информационных систем потребителей и сервиса электронной удаленной аутентификации. Недостатки: за надежность решения региону/ФОИВ необходимо нести самостоятельную ответственность. Безопасность Преимущества: ответственность за обеспечение безопасности решения делегирована Минкомсвязи России. Недостатки: отсутствие контроля за безопасностью. персональные данные всех пользователей хранятся в единой информационной системе, что серьезно увеличивает риск нарушения безопасности информации внутренним нарушителем. Преимущества: наличие контроля над мерами и механизмами обеспечения информационной безопасности. возможность самостоятельно контролировать распространение персональных данных (в том числе должностных лиц региона / ФОИВ) и степени их раскрытия подключенным информационным системам. возможность выбора наиболее безопасного решения из числа предлагаемых на рынке. Недостатки: за безопасность решения региону/ФОИВ необходимо нести самостоятельную ответственность. Удобство Преимущества: единые процедуры регистрации Преимущества: регион / ФОИВ могут организовать
  3. 3. 3 Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» пользователей, а также единые механизмы удаленной электронной аутентификации вне зависимости от того, из какого региона пользователь, а также вне зависимости от того, сотрудником какого ФОИВ/РОИВ является пользователь. Недостатки: развитие всей системы, включая и пользовательский интерфейс, находится под контролем Минкомсвязи России. Доступны лишь те возможности по настройке, что предоставляются Минкомсвязи России. наиболее удобный (как по пользовательскому интерфейсу, так и по прохождению процедуры удостоверения личности) для пользователей способ регистрации в системе. механизмы удаленной электронной аутентификации сотрудников ФОИВ / РОИВ могут быть интегрированы с механизмами аутентификации при входе в домен сети и настроены для работы в режиме сквозной аутентификации. Сотрудник ФОИВ / РОИВ будет всегда использовать свою учетную запись, заведенную ему ведомством, в независимости от того, получает ли он доступ к информационным ресурсам своего ведомства или иных ведомств. регионы могут предусмотреть удобную для пользователей интеграцию с системами удаленной электронной аутентификацией местных банков. Недостатки: процедуры, связанные с удаленной электронной аутентификацией будут различаться от региона к региону и в различных ФОИВ. При переезде пользователя между регионами, а также при переходе сотрудников с работы на работу между ФОИВ/РОИВ им придется приспосабливаться к изменениям. Готовность к внедрению Преимущества: При текущем развитии ФГИС ЕСИА уже обеспечивается возможность использования единой учетной записи пользователями при доступе ко всем федеральным и региональным информационным системам в случае их интеграции с ЕСИА. Недостатки: Возможность применения ФГИС ЕСИА для решения задачи удаленной аутентификации сотрудников ФОИВ / РОИВ при доступе к ведомственным информационным системам доступна только в части обеспечения веб- аутентификации. Дело в том, что Преимущества: Системы удаленной электронной аутентификации должностных лиц ФОИВ/РОИВ могут быть сравнительно легко внедрены с максимально возможным сохранением инвестиций в уже созданные ведомственные механизмы ведения пользователей и аутентификации. Потенциально внедрения будут производиться на основе продуктов, предлагаемых различными поставщиками. Недостатки: Внедрение систем идентификации и аутентификации пользователей Интернет и сотрудников
  4. 4. 4 Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» ФГИС ЕСИА требует обязательного обеспечения сетевой связности рабочих мест пользователей ведомств с системой ФГИС ЕСИА. Для многих ведомств это неприемлемо, так как их политиками безопасности существенно ограничена возможность подключения пользователей ведомственной сети к ресурсам Интернет или к ресурсам VPN-сети системы межведомственного электронного взаимодействия. Зачастую сетевые взаимодействия с сетью системы межведомственного электронного взаимодействия и с Интернет организованы через устройства типа «однонаправленные шлюзы», что также не позволяет осуществлять взаимодействия с ФГИС ЕСИА. ФГИС ЕСИА не предоставляет каких-либо механизмов для обеспечения электронной удаленной аутентификации при входе пользователей в сетевую ОС (при входе в домен), а также при использовании приложений типа «клиент-сервер», например, почтовых клиентов. юридических лиц на региональном уровне в настоящий момент не позволит пользователю иметь единый пароль для доступа к федеральным и региональным информационным ресурсам и воспользоваться преимуществами однократной веб- аутентификации. Для устранения этого недостатка необходима поддержка со стороны ФГИС ЕСИА возможности использования внешних (региональных) поставщиков идентификации. Экономический фактор Преимущества: При небольшом количестве подлежащих интеграции информационных систем и малом количестве пользователей отказ от создания собственной системы электронной удаленной аутентификации в пользу использования ФГИС ЕСИА является экономически выгодным. Недостатки: Использование ФГИС ЕСИА в качестве единственного решения по электронной удаленной аутентификации для всех государственных систем не способствует инновациям, не порождает конкуренции между поставщиками решения, и в стратегическом смысле является менее выгодным для государства. Государство фактически единолично Преимущества: Существование открытого рынка систем электронной удаленной аутентификации для государственных систем предусматривает наличие конкуренции и возможность выбора ФОИВ/РОИВ поставщика решений по электронной удаленной аутентификации из числа лучших. Поставщик решений по электронной удаленной аутентификации в условиях конкуренции стремится предложить лучшее решение как по критериям качества, так и по критериям цены владения. При этом поставщик привлекает инвестиции в развитие продукта как в государственном секторе за счет продажи решений в ФОИВ и РОИВ, так и в коммерческом секторе, за счет продажи решения организациям
  5. 5. 5 Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» инвестирует в развитие систем электронной удаленной аутентификации для всех государственных систем, не привлекая при этом частных инвестиций. крупного и среднего бизнеса в России и за рубежом. Недостатки: Использование ФГИС ЕСИА для ФОИВ/РОИВ является бесплатным, что определено законодательством. ФОИВ и РОИВ лишь несут затраты на доработки своих информационных систем в целях подключения их к ФГИС ЕСИА. При наличии небольшого числа систем в ФОИВ/РОИВ и при небольшом количестве пользователей создание собственной системы электронной удаленной аутентификации для ФОИВ/РОИВ будет экономически нецелесообразным. В качестве выводов заметим, что выполняющиеся государством в последние годы работы по развитию механизмов электронной удаленной аутентификации являются крайне важными и уже позволили внести заметный вклад в развитие сервисов электронного правительства в России. В настоящий момент благодаря созданной государством системе ФГИС ЕСИА более 5 миллионов пользователей имеют возможность воспользоваться более чем 20 информационными системами. В свою очередь, операторы информационных систем могут сосредоточиться на развитии их основных функций, не растрачивая ресурсы на решение задачи организации доступа. Вместе с тем стоит настороженно отнестись к перспективам развития ФГИС ЕСИА в качестве единственной возможной системы электронной удаленной аутентификации. Целесообразнее было бы продолжить дальнейшее развитие ФГИС ЕСИА не только как системы электронной удаленной аутентификации «по умолчанию», но и как связующего федеративного центра для локальных систем электронной удаленной аутентификации ФОИВ, РОИВ и даже коммерческих организаций. Также в перспективе целесообразно развитие ФГИС ЕСИА как шлюза к системам электронной удаленной аутентификации других государств. ФОИВ и РОИВ рекомендуется рассматривать как альтернативу непосредственного подключения ведомственных систем к ФГИС ЕСИА также и возможность создания собственных систем электронной удаленной аутентификации, интегрированных с ФГИС ЕСИА. В пользу применения федеративного подхода при решении задачи электронной удаленной аутентификации хочется упомянуть также два конкурса ФОИВ, опубликованных на портале закупок 94-ФЗ: Конкурс Минздрава России (проведен в мае 2013 года) — включал работы поразвитию собственной системы электронной удаленной аутентификации Минздрава России, и ее сопряжения с ФГИС ЕСИА. Конкурс МВД России (август-сентябрь 2013 года) — заключается в создании унифицированного сервиса управления доступом к информационным системам и ресурсам единой системы информационно-аналитического обеспечения деятельности МВД России. В состав работ входит создание ведомственной системы электронной удаленной аутентификации и ее сопряжение с ФГИС ЕСИА.

×